Comment fonctionne l'authentification dans Laravel ?

Question

Accepted Answer

Laravel fournit un système **d'authentification** complet et sécurisé prêt à l'emploi — gérant la connexion, l'enregistrement, le hachage des mots de passe, les sessions et la protection des routes. Il offre des kits de démarrage prêts à l'emploi pour les applications web et l'authentification basée sur des tokens (Sanctum/Passport) pour les API, vous n'avez donc pas à implémenter vous-même cette fonctionnalité critique pour la sécurité.

## Les bases (sessions, hachage, les helpers d'authentification)

```php
use Illuminate\Support\Facades\Auth;

// attempt login — verifies credentials, establishes a session
if (Auth::attempt(['email' => $email, 'password' => $password])) {
    // logged in — Auth::user() now available everywhere
}
Auth::logout();
Auth::user();        // the authenticated user (or null)
Auth::check();        // is someone logged in?
Auth::id();           // the user's id

// passwords are HASHED automatically (bcrypt) — never plaintext
$user->password = Hash::make($plainPassword);
Hash::check($plain, $user->password);   // verify
```

Laravel gère le **hachage sécurisé des mots de passe** (bcrypt/argon2 — jamais en texte brut) et la gestion des sessions automatiquement. `Auth::attempt` vérifie les identifiants et connecte l'utilisateur.

## Protéger les routes

```php
Route::get('/dashboard', ...)->middleware('auth');   // require login (the auth middleware)

// in Blade
@auth ... @endauth         // content for logged-in users
@guest ... @endguest       // content for visitors
```

Le **middleware `auth`** protège les routes (redirection/401 si non connecté) — la façon standard d'exiger une authentification.

## Kits de démarrage et authentification API

```text
Starter kits (Breeze, Jetstream) → scaffold complete login/registration/password-reset
  UI and logic instantly — don't build auth screens by hand.

API authentication:
  ✓ Sanctum → simple token-based auth for SPAs, mobile apps, simple API tokens (common)
  ✓ Passport → full OAuth2 server for complex API auth scenarios
```

Pour les API, **Sanctum** (authentification par token légère) ou **Passport** (OAuth2 complet) émettent et vérifient les tokens — protégeant les routes API avec le middleware `auth:sanctum`.

## Pourquoi c'est important

L'authentification est essentielle et **critique pour la sécurité** — presque toute application réelle a besoin de comptes utilisateur et de connexion, et l'authentification est l'une des choses les plus sujettes aux erreurs et dangereuses à implémenter incorrectement (mots de passe en texte brut, hachage faible, vulnérabilités de session mènent à des failles graves).

Le système d'authentification intégré de Laravel est un avantage majeur car il gère cela correctement et de manière sécurisée prêt à l'emploi : **hachage sécurisé des mots de passe** (bcrypt/argon2, jamais en texte brut — géré automatiquement), gestion des sessions, et les helpers `Auth` pratiques et le **middleware `auth`** pour protéger les routes.

Comprendre comment authentifier les utilisateurs, protéger les routes et accéder à l'utilisateur actuel est fondamental pour construire des applications avec des comptes.

Également important est de connaître les outils de l'écosystème : les **kits de démarrage** (Breeze, Jetstream) qui génèrent instantanément une fonctionnalité complète et sécurisée de connexion/enregistrement/réinitialisation de mot de passe (vous n'avez donc pas à construire des écrans d'authentification sujets aux erreurs à la main), et pour les API, **Sanctum** (authentification par token simple pour les SPA/mobile) ou **Passport** (OAuth2 complet) fournissent une authentification sécurisée basée sur des tokens.

Puisque l'authentification est à la fois omniprésente et une source fréquente d'erreurs de sécurité dangereuses quand elle est développée manuellement, comprendre le système d'authentification robuste, sécurisé et complet de Laravel — les bases, la protection des routes, les kits de démarrage et les options d'authentification API — est une connaissance importante qui vous permet de construire des applications sécurisées orientées utilisateur sans réinventer (et risquer) cette fonctionnalité critique, un avantage clé de l'utilisation d'un framework mature comme Laravel.